为什么支付宝会收到别人的转账?我的信息是泄露了吗?

杂谈

如果你莫名其妙的收到了别人的支付宝1分钱转账,代表着很有可能你的手机号已经泄露了。

支付宝转账

转账可以查部分名

在你打开转账的界面的时候就可以看到对方姓名中的1位,比方说我们可以看到X

沐寒(*X)

转账可以查全名

在支付宝里转账,使用银行卡支付的,我们可以在银行卡的账单中看到收款人的姓名全名,这里为了隐私我们打了码

支付宝转账
银行转账

社工案例讲解

案例分析

最近正好在学做溯源取证,我这里就简单讲一下,具体过程很复杂(包括通过威胁情报的IP反查域名、在域名里找到黑客ID、然后再通过搜索引擎语法找到这个ID下相关的社交平台,最终通过小号关注的人找到了他的大号)

这时我们通过简单社工库查到了他的手机号,然后在支付宝里点击转账,输入他的手机号,然后这里可以看到真实姓名其中的一个字

因此我们知道他现在叫宗驰

安全俱乐部

然后,你可以看到他的邮箱是hzc*开头的,我们可以猜测一下,h开头的能有啥姓呢,我就随口说了俩:黄宗驰黑宗驰

输入,然后点击验证了一下

支付宝转账

居然验证成功了,那这下应该就是实锤了

支付宝姓名校验

很多人运气没有我这么好,不过也可以给大家出一点思路,我们可以通过职场的社交平台(我这里用的是领英)去找点一些资料

领英查找

社交平台

招聘平台的话目前就领英可以通过名称搜索到,其他的像BOSS直聘、猎聘、前程无忧这些都无法通过姓名搜索(即便是招聘方也无法通过姓名搜索)

领英

不登陆领英平台查人的方法

微博

注意我们的目标人物发出去的图片,如果是有微博水印的,可以通过微博右下角的水印名称搜索到这个人

网易云音乐

通过用户ID在网易云进行搜索,搜索方式

找到这个用户,看下他关注的人,如果有唯一关注的,那么很有可能这个关注的人就是他的大号,同时部分账户还可以看到地理位置、年龄、最近听的音乐等信息,这些也可以作为我们在社工时候的参考

如何防止个人信息泄露

设置搜索不可见

  • QQ、微信在隐私中可以设置手机号搜索不可见
  • 支付宝在隐私中可以设置姓名不展示

这里给大家提一嘴,部分人支付宝设置的好友显示姓名全称,如果被加了好友,很有可能直接姓名就完全暴露出来了,因此需要对隐私进行合理设置

保护信息安全
保护信息安全
保护信息安全

结语

社工其实还是蛮有意思的,需要对信息进行整合,最后形成一个完整的用户画像(包括但不限于用户名、年龄、兴趣爱好、职业、所在单位、姓名、身份证、住址等信息)

© 版权声明
THE END
喜欢就支持一下吧
点赞2 分享
评论 共9条

请登录后发表评论

    请登录后查看评论内容